1、Windows系統的平安策略為大家介紹一些常用的設置方法來為Windows 2000系統進展平 安策略的設置從而起到平安保障的作用。Windows 2000系統本身就有很多平安方面的漏洞，這是眾所周 知的。通過打補丁的方法可以減少大部分的漏洞，但是并不能杜絕 一些小漏洞，而往往這些小漏洞也是導致被攻擊或入侵的重要途 徑。Windows 2000中自帶的“本地平安策略”就是一個很不錯的系 統平安工具。這個工具可以說是系統的防衛工具往往一些必要的設 置就能起到防范的作用，可別小看這個工具。下面就為大家介紹一 些常用的設置方法來為系統進展平安策略的設置從而起到平安保障 的作用。圖1系統的“本地平安策

2、略”這個工具是在，單擊“開始一控制面 板一管理工具一本地平安策略”后，會進入“本地平安策略”的主 界面。在此可通過菜單欄上的命令設置各種平安策略，并可選擇查 看方式，導出列表及導入策略等操作。在密碼策略中設置：啟用“密碼必須符合復雜性要求”，“密 碼長度最小值”為6個字符， “強制密碼歷史”為5次， “密碼最 長存留期”為30天。在賬戶鎖定策略中設置：“復位賬戶鎖定計數器”為30分鐘之 后，“賬戶鎖定時間”為30分鐘，“賬戶鎖定值”為30分鐘。圖2 經過這樣設置后，你的系統就平安很多了特別是賬戶的平安和 密碼的平安，有效防止一些非法的入侵。不但可以通過查看日志來 監控系統的一些運行方面的重要信

3、息。還對賬戶的有了清晰的掌 握。由于Win2000操作系統良好的網絡功能，因此在因特網中有部 分網站效勞器開始使用的Win2000作為主操作系統的。但由于該操 作系統是一個多用戶操作系統，黑客們為了在攻擊中隱藏自己，往 往會選擇Win2000作為首先攻擊的對象。那么，作為一名Win2000 用戶，我們該如何通過合理的方法來防范Win2000的平安呢?下面和 了一些防范Win2000平安的幾那么措施。為了防止系統在使用的過程中發生以外情況而難以正常運行， 我們應該對Win2000完好的系統進展備份，最好是在一完成 W i n2 0 0 0系統的安裝任務后就對整個系統進展備份，以后可以根據 這個備

4、份來驗證系統的完整性，這樣就可以發現系統文件是否被非 法修改正。如果發生系統文件已經被破壞的情況，也可以使用系統 備份來恢復到正常的狀態。備份信息時，我們可以把完好的系統信 息備份在CD-ROM光盤上，以后可以定期將系統與光盤內容進展比較 以驗證系統的完整性是否遭到破壞。如果對平安級別的要求特別 高，那么可以將光盤設置為可啟動的并且將驗證工作作為系統啟動 過程的一部分。這樣只要可以通過光盤啟動，就說明系統尚未被破 壞過。安裝Win2000時，應選擇自定義安裝，僅選擇個人或單位必需 的系統組件和效勞，取消不用的網絡效勞和協議，因為協議和效勞 安裝越多，入侵者入侵的途徑越多，潛在的系統平安隱患也越

5、大。 選擇Win2000文件系統時，應選擇NTFS文件系統，充分利用NTFS 文件系統的平安性。NTFS文件系統可以將每個用戶允許讀寫的文件 限制在磁盤目錄下的任何一個文件夾內，而且Win2000新增的磁盤 限額效勞還可以控制每個用戶允許使用的磁盤空間大小。為了防別人偷看系統中的文件，我們可以利用Win2000系統提 供的加密工具，來保護文件和文件夾。其詳細操作步驟是，在“Win 資源管理器”中，用鼠標右鍵單擊想要加密的文件或文件夾，然后 單擊“屬性”。單擊“常規”選項卡上的“高級”，然后選定“加 密內容以保證數據平安”復選框。默認情況下，在Win2000中新增一個共享目錄時，操作系統會 自動

6、將EveryOne這個用戶組添加到權限模塊當中，由于這個組的默 認權限是完全控制，結果使得任何人都可以對共享目錄進展讀寫。 因此，在新建共享目錄之后，要立刻刪除EveryOne組或者將該組的 權限調整為讀取。如果系統一不小心被破壞而不能正常啟動時，就需要專用的Win2000系統啟動盤，為此我們一定要記得在Win2000安裝完好 后創立一個緊急修復磁盤。在創立該啟動盤時，我們可以利用Win2000的一個名為NTBACKUP.EXE的工具來實現。運行 NTBACKUP.EXE，從工具欄中選擇“創立緊急修復盤Crea te an Emergency Repair Disk”在A：驅動器中插入一張空白

7、格式化的軟 盤，并點擊“確定”，點擊“確定”到達完成信息，再點擊“確 定”。修復盤不再可以用來恢復用戶帳號信息等，而且您必須備份/ 恢復Active Directory，在備份中將被覆蓋。將系統的效勞器移到一個單獨的機器中會增加系統的平安級 別，使用一個更平安的效勞器來取代Win2000自身的工具也可以進 一步提高平安。在大的Win2000網絡中，最好使用一個單獨的效勞 器用于效勞。它必須是一個能夠滿足所有系統需求并且擁有足夠的 磁盤空間的效勞器系統，在這個系統上應該沒有其它的效勞運行。 更平安的效勞器會大大削弱入侵者透過系統竄改日志文件的能力。嚴格設計管理好Win2000系統的平安規那么，其

8、內容主要包括 “密碼規那么”、“賬號鎖定規那么”、“用戶權限分配規那 么”、“審核規那么”以及“IP平安規那么”。對全部用戶都應按 工作需要進展分組，合理對用戶分組是進展系統平安設計的最重要 的根底。利用平安規那么可以限定用戶口令的有效期、口令長度。 設置多少次失敗后鎖定工作站，并對用戶備份文件和目錄、關機、 網絡訪問等各項行為進展有效控制。為了能密切地監視黑客的攻擊活動，我們應該啟動Win2000的 日志文件，來記錄系統的運行情況，當黑客在攻擊系統時，它的蛛 絲馬跡都會被記錄在日志文件中的，因此有許多黑客在開始攻擊系 統時，往往首先通過修改系統的日志文件，來隱藏自己的行蹤，為 此我們必須限制

9、對日志文件的訪問，制止一般權限的用戶去查看日 志文件。當然，系統中內置的日志管理程序功能可能不是太強，我 們應該采用專門的日志程序，來觀察那些可疑的屢次連接嘗試。另 外，我們還要小心保護好具有根權限的密碼和用戶，因為黑客一旦 知道了這些具有根權限的帳號后，他們就可以修改日志文件來隱藏 其蹤跡了。制定系統策略和用戶腳本，對網絡用戶的行為進展適當的限 制。我們可以利用系統策略器和用戶腳本為用戶設定工作環境，控 制用戶在桌面上進展的操作，控制用戶執行的程序，控制用戶的時 間和地點（如只允許用戶在上班時間、在自己辦公室的機器上，除此 以外一律制止訪問），采取以上措施可以進一步增強系統的平安性。如果在工

10、作的過程中突然覺得計算機工作不對勁時，仿佛感覺 有人在遙遠的地方遙控你。這時，你必須及時停頓手中的工作，立 即按Ctrl+Alt+Del復合鍵來查看一下系統是否運行了什么其他的程 序，一旦發現有莫名其妙的程序在運行，你馬上停頓它，以免對整 個計算機系統有更大的威脅。但是并不是所有的程序運行時出現在 程序列表中，有些程序并不顯示在 Ctrl+Alt+Del 復合鍵的進程列表 中，最好運行“附件”/“系統工具”/“系統信息”，然后雙擊 “軟件環境”，選擇“正在運行任務”，在任務列表中尋找自己不 熟悉的或者自己并沒有運行的程序，一旦找到程序后應立即終止 它，以防后患。如今病毒在因特網上傳播的速度越來

11、越快，為防止主動感染病 毒，我們最好不要在Win2000中上網訪問非法網站，不要貿然下載 和運行不名真相的程序。例如如果你收到一封帶有附件的電子郵 件，且附件是擴展名為EXE 類的文件，這時千萬不能隨意運行 它，因為這個不明真相的程序，就有可能是一個系統破壞程序。攻 擊者常把系統破壞程序換一個名字用電子郵件發給你，并帶有一些 欺騙性主題，騙你說一些：“這個東西將給您帶來驚喜”，“幫我 測試一下程序”之類的話。你一定要警覺了!對待這些外表上很友 好、跟善意的郵件附件，我們應該做的是立即刪除這些來歷不明的 文件。充分利用NTFS文件系統的本地平安性能，設計好NTFS文件系 統中文件和目錄的讀寫、訪

12、問權限，對用戶進展分組。對不同組的 用戶分別授予回絕訪問、讀取和更改權限，一般只賦予所需要的最 小的目錄和文件的權限。值得注意的是對完全控制權限的授予應特 別小心。對于網絡資源共享，更要設計好文件系統的網絡共享權 限，對不應共享的文件和目錄決不能授予共享權限。對能夠共享的 文件和目錄，應對不同的組和用戶分別授予回絕訪問、讀、更改和 完全控制等權限。讓我們從Windows 2000磁盤限額分配方法談起。安裝設置完成 Windows 2000 Server以后，作為文件效勞器管理員的你就得考慮 劃分一個專用于存放共享文件的分區，如果你的系統分區是C,那 么建議共享文件的分區分配在D或者E等分區，做

13、好這一步之后繼 續。采用NTFS格式的分區是實現磁盤限額的根本條件。眾所周知， 如果共享目錄所在的分區采用FAT32格式，而你又分配給同事寫入 數據的權限，那這個分區的可用空間就開始處在不確定狀態中，而 且你很難掌控空間的使用情況。如果磁盤分區采用NTFS這種更加高 效平安的分區格式，那么你就能決定同事最多能占用多大的空間， 就能順理成章地把握整個分區乃至磁盤空間的使用狀態。現在的分 區仍然是FAT32嗎？趕快轉換成NTFS吧！小知識如何將FAT32轉換成NTFS分區格式？用鼠標右擊D分區，在彈出的快捷菜單中選中“屬性”，在D 分區屬性窗口中切換到“配額”選項卡這就是磁盤限額功能所 在的地方啦

14、。然后，依次點擊選中“啟用配額管理”和“回絕將磁 盤空間給超過配額限制的用戶”兩個選項，接下來就根據辦公室和 效勞器的情況來決定磁盤空間限制為多少，本例中的限制為 100MB。小提示這是對新用戶默認的限制大小，如果沒有單獨指定，每 個新用戶的可使用空間都只能有100MB。如果要讓某一個用戶使用更多的空間，就必須要單獨指定了。 操作步驟是：點擊此窗口下方的“配額項”按鈕，在彈出的窗口中 點擊“新建配額項”按鈕，然后在新窗口中的“查找范圍”一欄中 選擇這臺文件效勞器（本例中的效勞器名稱為SRV），然后在接著顯 示出的用戶列表中選擇一位同事的名，雙擊后添加。其他用戶的添 加方法也是一樣，最后點擊“確

15、定”按鈕完成；最后為這次添加的 同事指定空間，例如：1GB。至此磁盤配額設置工作完成。有趣的是，磁盤配額功能在共享及上傳文件時都有效，即你的 同事不管是在效勞器上的共享文件夾中存放文件還是通過FTP來上 傳文件，所有的文件總尺寸都不能超過磁盤限額所規定的空間大 小。圖1使用Convert.exe命令將Fat32轉換為NTFS分區格式 圖2為新用戶指定默認的限額大小 圖3添加需要單獨指定限額空間的同事圖4由于添加多個用戶，所以這里的用戶名就是很“奇怪”的“VMul tiple”圖5看看吧，一個普通用戶能使用的空間是多少？ 初級篇我們介紹了如何簡單的搭建一個文件效勞器，這里，我 們需要提供一個更加

16、完美的空間管理方案。如果你看到上面所講的 就馬上去動手做，肯定能行！不過久而久之，你會為管理這些文件 而頭痛不已：所有的用戶都把文件存放在一個地方，終究這些文件 是誰存放的？這位同事存放了哪些文件請不要奢望Windows 2000 Server自動為你提供了直接解決這些問題的方法。現在我們 就綜合“網上鄰居法”和“FTP法”為你解決這個難題。其實文件效勞器與在普通電腦上共享文件夾的方法類似。不同 的是，既然是作為一臺文件效勞器，就允許用戶將私人文件存放在 效勞器上，同時通過一個公共目錄與大家一起共享文件。操作步驟：首先，在D分區上建立假設干個以你的同事電腦名 稱為名的目錄，分別為這些目錄分配各

17、自的權限也就是私有目 錄的權限。然后，再建立一個公共目錄，并設置權限為所有用戶均 可訪問。小提示原那么上，一個目錄只能讓名稱與之對應的電腦來訪 問，而其他的用戶來訪那么一律回絕，這樣就可以保證每個目錄下 的文件被固定用戶所有及管理，而公共目錄下的文件大家互相共 享，這樣，大家的共享操作都在文件效勞器上進展，也就杜絕XX病 毒通過網上鄰居直接進入用戶的電腦中。Windows 2000 Server IIS 5.0的FTP功能在辦公室文件高 速互傳FTP篇有講解，不過由于其功能顯得太過于簡單、弱小， 以至于我們無法方便地通過它來到達控制用戶上傳目錄、FTP權限 設置等目的，有興趣的朋友可以使用Se

18、rv-U等專業的FTP效勞器軟 件來實現強大的功能：單獨的用戶FTP目錄控制、不依賴于 Windows用戶信息的FTP賬戶如果你想在辦公室實現高速而且平安無毒的網絡共享環境，組 建這樣的文件效勞器無疑是你的最正確選擇。編后:“實踐是檢驗真理的惟一標準。”搭建一臺中小型企業局 域網的文件效勞器，確實能夠有效地提高我們的文件交換效率。只 要注意文件效勞器的病毒防治，也能有效地控制病毒在局域網中的 傳播，當然前提是給文件效勞器安裝強大的殺毒軟件和防火墻。很多木馬病毒，執行前一般都會在系統的temp（臨時文件夾）目 錄生成并試圖啟動，再做其他動作。在Windows7中，無件是否有數 字簽名，假設發現在

19、Temp文件夾中試圖運行，那么就會被 windows7攔截警報。攔截界面可以說是相當的土，但是也相當簡明易懂。例如經常 有一些WinRAR自解壓程序，試圖在臨時文件夾下釋放一些文件并運 行，這個時候，windows7就會彈出如下提示：如果該文件有數字簽名，還會顯示該文件的簽名信息，并可點 擊文字查看其證書信息。以后在Temp文件夾下運行的木馬，可就不是那么容易“無聲無 息”了。平安模式是windows系統的一個特殊模式，說它特殊是因為在 平安模式中，系統將盡可能地在最小模式運行，因此很多第三方設 備驅動和程序都不會在系統啟動時加載。也正是因為這些原因，在 平安模式中才可以更好地維護和修復系統故障。要進入到vista的平安模式有兩個方法，一是當系統完成bios 自檢后迅速按下F8鍵，這樣就進入到了系統啟動模式選擇菜單，選 擇”平安模式”就可以了。此外也可以在正常模式啟動系統后，點 擊開始按鈕并輸入msconfig，接下回來后翻開系統配置，進入到系 統配置/啟動，勾選平安啟動后按下確定即可。這時會提示重新啟 動，點擊”確定”后重新啟動系統即可自動進入到平安模式。PS：開機后按下鍵盤的Ctrl鍵也可